Frage zu RDP via NAT

Hallo Ralf,

ist eine Firewall Regel für deine Kommunikation definiert.

Eine NAT Regel allein reicht dafür damit nämlich nicht.

Gruß

DKKDG

Hallo DKKDG,

vielen Dank für Dein Posting.

Ja, es gibt entsprechende Regeln in der Firewall. Diese habe ich zum einen automatisch über das NAT Menü erstellen lassen und habe noch eine zur Sicherheit manuell angelegt.

Die Firewall-Regeln ziehen. Ich habe keine Drops wenn ich ein Live-Log laufen lasse.

Viele Grüße

Ralf

Da die beiden Netze sich wohl nicht kennen (sollen), muss neben dem DNAT auch noch ein SNAT auf 10.0.2.254 gemacht werden

Hallo papa_,

vielen Dank für Deine Hilfe.

Es stimmt, die Netze sollen sich nicht kennen.

Ich habe eine SNAT Regel gemacht (Traffic Selector wie in der DNAT Regel). Auch wenn ich die Regeln von der Positionierung switche zieht die UTM immer nur die DNAT Regel heran (sehe ich über das "Log inital packet"). Die SNAT Regel wird von der UTM nicht angesprochen.

14:05:55    NAT rule #2    TCP         10.0.1.10    :    59481    →    10.0.1.254    :    3389    
14:08:12    NAT rule #2    TCP         10.0.1.10    :    59544     →    10.0.1.254    :    3389    

(NAT rule #2 = DNAT Regel)

Selbst wenn ich die DNAT regel komplett deaktiviere zieht er die SNAT Regel nicht (dann sehe ich im Firewall Live Log, dass die (selbsterstellte) Paket Filter Regel der Firewall angesprochen wird).

14:08:36    Packet filter rule #2    TCP         10.0.1.10    :    59555    →    10.0.1.254    :    3389    
14:08:39    Packet filter rule #2    TCP         10.0.1.10    :    59555    →    10.0.1.254    :    3389

Viele Grüße

Ralf

DNAT wird vor SNAT ausgeführt, du musst also den trafic selector anpassen.

Ich würde aber ein full NAT empfehlen, das erschlägt gleich beides

Hallo Ralf,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

If these two subnets are defined on interfaces of the same UTM, WebAdmin will automatically create routes between them.  Only a packetfilter rule should be required to enable communication.

If the client can't get responses from the server with just a firewall rule added, then the physical topology must be more complex than the diagram indicates.  In that case, I bet you can't craft NAT rules to enable communication.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo und Danke @papa_ und @BAIfson für Eure Antworten.

ich habe inzwischen eine kleine Testumgebung gebaut um Firewalls und ähnliches aus zu schließen.

Das Ergebnis ist leider das Gleiche. In der Testumgebung gibt es nun auch einen WireShark der die ein- und ausgehende Pakete mit loggt. Die NAT Regel funktioniert bis zum Server in Subnetz B. Dort sehe ich die Pakete ankommen und von dort werden diese auch wieder versucht zurück zu schicken an den Client in Subnetz A. Dort kommen die Pakete aber nicht an.

Zum Testen habe ich auch eine NAT Rule für ICMP gebaut. Gleicher Effekt. Die Pakete kommen bis zum Server in Subnetz B, werden dort zurück gesendet und kommen aber am Clienten in Subnetz A nicht an ("Host unrechable" - WireShark). Am Server in Subnetz B werden die Pakete an die IP-Adresse der UTM in Subnetz B geschickt. Anscheinend erfolgt dort aber nicht die Umsetzung gemäß dem "NAT-Rückweg" in Subnetz A.

Solche Effekte kenne ich vom Routing, wenn eine Rückroute an irgend einer Stelle fehlt, deshalb meine Frage... Muss ich auf der UTM noch eine (Rück-)Route eintragen?

Es gibt sowohl in Subnetz A als auch in Subnetz B Routing-Instanzen. Die Standardgateways zeigen aber auch andere IP-Adressen als die UTM. Zusätzliche Routen kann ich in diesen Routing Instanzen nicht eintragen. Die Subnetze A und B sind absichtlich isoliert.

Vielen Dank & Viele Grüße

Ralf

"Die Subnetze A und B sind absichtlich isoliert."

If that is done correctly, a client in A will not be able to converse with a server in B, Ralf.  If you still want to pursue this here, please show us a diagram of the topology complete with IPs, subnets and default gateways.  If you prefer, obfuscate IPs like 84.XX.YY.121, 10.X.Y.100, 192.168.X.200 and 172.2X.Y.51.  That lets us see immediately which IPs are local and which are identical.

MfG - Bob (Bitte auf Deutsch weiterhin.)